Fortigate Güvenlik Duvarının DNS Sunucu Olarak Kullanılması
Merhabalar,
Bu yazımızda Fortigate Güvenlik Duvarının DNS sunucu olarak kullanılması hakkında bilgi verilecektir.
Ağımızda kullanmak için Fortigate güvenlik duvarımızın DNS sunucuları özelliğini kullanarak kendi DNS sucunularımızı oluşturabilirsiniz. Gereksinimlerinize bağlı olarak yapılandırıp, girişlerinizi manuel olarak yapabileceğiniz ana (master) DNS sunucusu veya dış bir kaynağa başvuran (slave) DNS sunucusu olarak kullanabilirsiniz.
Lokal, master DNS sunucusu, tüm URL ve IP adresi kombinasyonlarını manuel olarak eklemenizi gerektirir. Lokal(yerel) hizmetler için master DNS sunucusu kullanmak, gelen ve giden trafiği ve erişim süresini en aza indirebilir. IP adreslerini değiştirebileceği ve listeyi korumak emek yoğun hale gelebileceğinden, DNS’i “authorative DNS” haline getirmek çok tavsiye edilmez.
Bir slave DNS sunucusu, URL ve IP adresi kombinasyonlarını elde etmek için alternatif bir kaynağa başvuruda bulunacak şekilde çalışır. slave DNS sunucusu, giriş listesinin korunduğu bir master DNS sunucusu olduğunda kullanışlıdır.
FortiOS 6.2 ve sonrasında, DNS sunucusu olarak FortiGate, bir DNS istemcisine TLS bağlantılarını da destekler. Bu konuda detaylı bilgi ve yapılandırma için https://mesutkaraca.com/fortigate-guvenlik-duvarlarinda-dns-ayarlari/ adresinden faydalabilirsiniz.
Default olarak, FortiGate GUI’sinde DNS sunucusu seçenekleri yoktur. DNS sunucusu yapılandırma ayarlarını GUI’de etkinleştirmek için: “System > Feature Visibility>Additional Features>DNS Database” seçeneğini etkinleştirin.
Aşağıdaki örnekte non-authoritative master DNS sunucusu kurulumu ile ilgili örnek bir yapılandırma yapılacaktır. Interface mode olarak recursive seçildiği için eğer DNS sorgusu kendi veritabanında bulunmazsa dışarıdaki DNS sunuculara sorgulamalar yapılabilecektir.
- Öncelikle “Network>DNS Servers” sayfasına gidin.
- “DNS Database” altında “Create New” seçeneğine tıklayın.
- “Type“olarak “Master” ayarlayın.
- “View” olarak “Sahdow” ayarlayın. “View” ayarı, DNS sunucusunun dışarıdan (internet tarafından) erişilebilirliğini denetler. “Public” seçerseniz, internet kullanıcıları da DNS sunucusuna erişebilir veya bunları kullanabilir. “Shadow“seçeneğini belirlerseniz, DNS sunucularınızı yalnızca local kullanıcılar kullanabilir.
- “DNS Zone” ismini girin, örneğin “Test_Zone”.
- O zone ait etki alanı “Domain Name” i girin; örneğin, mesutkaraca.com.
- DNS sunucusunun “Hostname” adını girin; örneğin, dns1.
- Admin için İletişim E-posta Adresini “Contact Email Address” girin; örneğin, info@mesutkaraca.com.
- “Authoratative” seçeneğini devre dışı bırakın.
- “DNS Entry” eklemek için ise:
- “DNS Entries” tablosunda, “Create New” seçeneğine tıklayın.
- “Type” ile bir entry tipi seçin, örneğin “Address (A)”.
- “Hostname” girin, örneğin “example.mesutkaraca.com“.
- Geri kalan ayarları da uygun bir şekilde doldurun.
- “OK” tıklayın
- İstediğiniz entryleri manuel olarak ekleyin, (A kaydı, MX kaydı, CNAME vb.)
- İşlemleriniz bittiğinde “OK” tıklayın ve DNZ Zonu’u oluşturun.
- Daha sonra DNS servisimizin hizmet vermesini istediğimiz interface için aktifleştirin:
- “Network > DNS Servers > DNS Service > Create New” tıklayın.
- DNS servisimizi aktifleştirmek istediğiniz interface seçin.
- “Mode” olarak “Recursive” seçebilirsiniz.
Benzer işlemleri Fortigate CLI ile de yapabilirsiniz:
config system dns-database edit Test_Zone set domain mesutkaraca.com set type master set view shadow set ttl 86400 set primary-name dns1 set contact info@mesutkaraca.com set authoritative disable config dns-entry edit 1 set hostname example.mesutkaraca.com set type A set ip 172.16.10.10 set status enable next end next end
config system dns-server
edit wan2
set mode recursive
next
endKonu ile ilgili bilgiyi aşağıdaki kaynaktanokuyabilirsiniz.
https://docs.fortinet.com/document/fortigate/6.2.4/cookbook/960561/fortigate-dns-server
